Cybersecurity
CrowdStrike: Conoscere le tecniche del nemico rende la caccia più proattiva
Con la diffusione dei dispositivi IoT, la pericolosità delle minacce assume risvolti ancor più allarmanti, ma le organizzazioni continuano a non proteggere in modo adeguato gli endopoint.
22 Gen 2018
Difesa non solida senza proteggere tutti gli endpoint
Non c’è solo la continua crescita di ransomware come WannaCry, in grado di bloccare l’accesso alle informazioni aziendali, o distruggerle: oggi esiste Shodan, il motore di scanning di indirizzi IP che, sfruttando webcam e dispositivi IoT (Internet of Things) privi di adeguate protezioni, permette agli hacker di penetrare con voyeurismo in camere da letto, cucine, garage casalinghi; ma anche in server aziendali, impianti industriali, utility di gestione dell’energia. «Questo tipo di capacità dovrebbe rendere le imprese consapevoli del perché è importante fare il patching del proprio ambiente IT. Ma la realtà è che, ovunque nel mondo, pur adottando tecnologia di ‘defense in depth’ a livello di rete e applicativo, le imprese non si focalizzano a sufficienza sulla protezione degli endpoint».
Questi sono i veri baluardi da presidiare per ottenere più visibilità e consapevolezza di ciò che sta accadendo nel proprio ambiente informatico, dove vanno sì monitorati gli attacchi esterni, ma senza dimenticare di considerare le possibili compromissioni perpetrabili da parte di chi può avere accesso fisico a server e macchine all’interno dell’organizzazione. «Una volta superati i diversi livelli di difesa, attraverso gli endpoint gli avversari si introducono nella rete, che a tal punto possono controllare, assieme ai dati, rimanendo inosservati anche per molto tempo. Il fatto è che oggi, a livello architetturale, le reti non sono abbastanza segmentate: se poi si aggiunge che un altro problema è sviluppare un controllo più raffinato degli accessi e degli account di amministratore, quando gli attaccanti guadagnano queste credenziali, possono ottenere un ingresso completo nell’intera rete. Un altro problema, forse ancora il più comune, è che non si eseguono sufficienti interventi di patching e aggiornamento dell’ambiente IT».
Attenzione puntata sugli indicatori di attacco
Con l’attuale complessità, volume e ritmo di evoluzione delle minacce informatiche, gestire la sicurezza IT sfruttando la potenza del cloud, spiega Shawn, dà il vantaggio di muoversi alla velocità della rete, di eseguire in automatico gli aggiornamenti, monitorare e amministrare gli endpoint, disconnettendo immediatamente quelli compromessi per impedire lo sfruttamento delle informazioni. Ma occorre anche essere realisti: «Ho parlato con persone nel business della security a cui non importa chi sono gli attaccanti, perché puntano a bloccare qualsiasi possibile minaccia: questa, a mio parere, non è una strategia valida. Occorre invece focalizzarsi e cercare di capire chi sta minacciando la rete, attraverso l’analisi degli indicatori di attacco. Con la nostra tecnologia monitoriamo gli indirizzi IP malevoli, le attività, gli eventi in corso, sulla base di ciò che sappiamo gli avversari devono fare per guadagnare l’accesso alla rete. E nel far questo utilizziamo l’intelligence: non la AI, ma una collezione di informazioni, per identificare chi sono gli attori in gioco. Noi conosciamo diversi gruppi di avversari; conosciamo le tattiche, gli strumenti che usano, e questo ci aiuta a proteggere la rete in modo proattivo, andando a scoprire gli indicatori che gli attaccanti sono in quel momento attivi in un dato punto dell’infrastruttura». La caccia ai pirati del cyberspazio è più che mai aperta.
